Ostuda státních webů: nebezpečné a podvodné

DIGITALIZACE V ČESKU

Ostuda státních webů: nebezpečné a podvodné
„Vaše připojení není privátní. Útočníci se možná pokoušejí ukrást vaše informace z portal.gov.cz,“ varovaly před Portálem veřejné správy prohlížeče Foto: Echo24.cz
Domov

Digitalizace české státní správy se dočkala další ostudy. V neděli vypršel bezpečnostní certifikát Portálu veřejné správy na adrese portal.gov.cz, který obsahuje několik důležitých rozcestníků. Certifikáty, zajišťující bezpečný přesun dat, tím pádem vypršely i dalším příbuzným webovým stránkám – prohlížeče je kvůli tomu označily za nebezpečné a podvodné. Kvůli tomu nebylo možné prohlédnout jejich obsah ani využít jejich služeb, např. přihlašování přes eObčanku a správu datových schránek. Nakonec byl certifikát obnoven až večer, veřejnost ale žasne, jak mohla státní sféra něco takového zanedbat.

„Na Portálu veřejné správy naleznete informace o službách veřejné správy a životních událostech, formuláře, věstníky, seznam datových schránek, nepotřebný nemovitý majetek a další. Najdete zde také odkazy na státní instituce. Svým zaměřením je Portál veřejné správy určen pro širokou veřejnost, státní správu a samosprávu, státní i soukromé organizace, včetně podnikatelů, živnostníků a cizinců,“ uvádí ministerstvo vnitra na svých stránkách. Portál dovoluje také přihlášení přes elektronickou identitu eObčanku, třeba ke správě datové schránky nebo komunikaci s úřady, což je v pandemické době zásadní funkce.

Certifikáty pak prokazují identitu stránek, které při komunikaci mezi serverem a návštěvníkem webu využívají šifrovacího mechanismu pro bezpečný přesun dat (např. přihlašovacích údajů). Jde o standardní záležitost, na kterou lze narazit u všech osvědčených stránek, od e-shopů po internetové bankovnictví, ale také u zpravodajských portálů či webů úřadů. Kdo se ale chtěl přihlásit na Portál veřejné správy v neděli po obědě, měl smůlu. Tou dobou už stránce vypršel certifikát, stejně jako některým souvisejícím webům trvalypobyt.gov.cz nebo narozeni.gov.cz.

Nebylo tedy možné využít některé služby eGovernmentu. „Vaše připojení není privátní. Útočníci se možná pokoušejí ukrást vaše informace z portal.gov.cz (například hesla, zprávy nebo platební karty),“ varovaly před Portálem veřejné správy prohlížeče jako Microsoft Edge, Chrome či Firefox, když se jejich uživatelé snažili dostat na zmíněný web. Všechny redakcí vyzkoušené prohlížeče dopadly stejně – nepodařila se jim ověřit platnost zabezpečovacích pověření. „K tomu může dojít, když nějaký útočník zkouší předstírat, že je web portal.gov.cz,“ říkala dále varovná hláška v prohlížeči.

Portál byl podle informací serveru Lupa.cz, který na případ upozornil, obnoven až v 19 hodin společně s novým bezpečnostním certifikátem. Událost zaskočila některé uživatele i IT experty – vystavitel certifikátu totiž zpravidla dává s předstihem vědět, že brzy dojde k expiraci, někdy 20 až 30 dní dopředu. Mnozí se tak pozastavují nad tím, jak mohlo státní správě něco takového uniknout, když je na takový portál navázán řetězec dalších příbuzných služeb.

„Portál jsem spouštěl před 17 lety ještě jako ministr, měl to být vstup do eGovernmentu. Postupně umíral, už ho nerozvíjeli, tohle už je jen hořká tečka. Když se mne občas někdo zeptá, proč jsem skončil v byznysu, tak přesně kvůli tomuhle. Marnost, marnost,“ okomentoval případ na Twitteru Vladimír Mlynář, exministr informatiky ve vládě Vladimíra Špidly a vládě Stanislava Grosse, nyní ředitel komunikace investiční skupiny PPF.

Nejde zdaleka o první přešlap na straně vlády, která se v rámci svého programu chlubí mimo jiné právě digitalizací státní sféry. V prosinci se dostal resort dopravy pod palbou kritiky za problémový start e-shopu na elektronické dálniční známky. Mnohem větší poprask pak v půlce ledna způsobil nefungující rezervační systém na očkování lidí nad 80 let. Nedlouho poté si lidé začali stěžovat i na nefunkční portál AIS MPO, na němž podnikatelé posílají žádosti v kompenzačních programech. Ten nefungoval hned několik dní, „protože vyhořel server“.

Jelikož nemalá část komunikace na internetu probíhá v nezašifrované podobě, je teoreticky čitelná pro kohokoliv, kdo je dostatečně technicky zdatný. V praxi tak může mít přehled o tom, jaká data odesíláte i stahujete, což představuje velké bezpečnostní riziko. Proto weby a portály, které pracují s citlivými osobními údaji (třeba přihlašovacím jménem a heslem do nějaké služby), využívají k bezpečnému přenosu dat nějakou formu šifrování – na straně odesílatele data zakóduje a na straně příjemce je opět dekóduje do čitelné podoby. Že daný web používá šifrování, upozorňuje ikonka zámku na začátku adresového řádku prohlížeče.